Das DATENSCHUTZ- GESETZ aus Sicht der ArbeitnehmerInnen

Transkript

1 Das DATENSCHUTZ- GESETZ aus Sicht der ArbeitnehmerInnen überarbeitete Fassung des DSG 2000

2 2 Autorinnen MR Dr. in Eva Souhrada-Kirchmayer ist Juristin mit dem Fachgebiet Datenschutz. Sie arbeitet seit 1991 im Bundeskanzleramt (wo sie von 2004 bis 2010 die Datenschutzabteilung des Verfassungsdienstes leitete) und für die Österreichische Datenschutzkommission. Seit Juli 2010 ist sie geschäftsführendes Mitglied und Leiterin der Geschäftstelle der Datenschutzkommission. Nurith Wagner-Strauss Mag. a Clara Fritsch arbeitet seit 2007 in der Abteilung Arbeit & Technik der GPA-djp, vorrangig zu den Themen Datenschutz, technische Systeme sowie social media. Impressum: Herausgeber: Gewerkschaft der Privatangestellten, Druck, Journalismus, Papier Alfred-Dallinger-Platz 1, 1034 Wien Redaktion: Martina Tossenberger, GPA-djp, Abteilung Arbeit und Technik Layout: Anita Schnedl, GPA-djp Marketing Fotos: Bilderbox, Nurith Wagner-Strauss, David Payr, GPA-djp DVR , ZVR Stand: überarbeitete Fassung, Jänner 2011

3 3 Vorwort David Payr Zahlreiche Angaben über unsere Person werden an unserem Arbeitsplatz verwendet (zb Geburtsdatum, Familienstand, Funktionsbeschreibung, Qualifikation, Arbeitszeit, etc.). Auch im Arbeitsprozess von uns selbst erzeugte Daten geben Auskunft über das Arbeitsverhalten (zb Zutritt zu bestimmten Räumen, Telefongespräche, s, angesurfte Internet-Seiten, etc.). Grundvoraussetzung für die legale Verwendung aller dieser personenbezogenen Daten ist, dass sie für einen klaren und eindeutigen Zweck verwendet werden. Eine weitere Grundvoraussetzung ist, dass die Daten sparsam verwendet werden. Außerdem stehen den ArbeitnehmerInnen bestimmte Rechte zu; sie müssen Auskunft darüber erhalten, wie und von wem ihre personenbezogenen Daten verwendet werden; sie müssen Gelegenheit zur Richtigstellung haben und bei manchen Datenverwendungen müssen sie explizit zustimmen. Alle diese Grundlagen sind im österreichischen Datenschutzgesetz festgeschrieben, dessen derzeitiger Inhalt weitgehend im Jahr 2000 beschlossen wurde (DSG 2000) kamen einige Neuerungen hinzu, zb im Bereich des Datenverarbeitungsregisters und der Videoüberwachung. Das DSG ist obwohl derzeit leider nicht dezidiert für das Arbeitsverhältnis gedacht ein Gesetz, das große Auswirkungen auf den Arbeitsalltag hat und dessen Bedeutung daher nicht zu unterschätzen ist. Die vorliegende Broschüre dient dazu, einen bewussten Umgang mit personenbezogenen Daten zu fördern. BetriebsrätInnen können auf Basis des hier beschriebenen Gesetzes besser darauf achten, dass die rechtlichen Bestimmungen aus dem DSG in ihrem Betrieb eingehalten werden. Wolfgang Katzian Vorsitzender

4 4 Kolumnentitel Arbeitssituation + Beschäftigungssituation = GUTE ARBEIT Sie verbindet Flexibilität und Sicherheit, gewährleistet ein Einkommen, das einen angemessenen, planbaren Lebensstandard ermöglicht, fördert die Entwicklung und den Erhalt der Beschäftigungsfähigkeit der ArbeitnehmerInnen, durch regelmäßige Weiterbildung und sinnvolle, fördernde Arbeitsaufgaben, bietet eine menschengerechte und beteiligungsorientierte Arbeitsorganisation, respektiert die Privatsphäre der Beschäftigten, fördert Sicherheit und Gesundheit am Arbeitsplatz, ermöglicht eine gesunde Balance zwischen Arbeit und Privatleben und bemüht sich um die Entwicklung einer wertschätzenden und respektvollen Unternehmenskultur, in der Vielfalt und Chancengleichheit als Wert und Ressource betrachtet werden.

5 Kolumnentitel 5 GUTE ARBEIT Arbeit ist eines der bedeutendsten Räder im Getriebe der Gesellschaft und hält das tägliche Leben in allen uns bekannten Formen am Laufen. Deshalb bestimmt die Art und Weise, wie wir arbeiten auch wesentlich über unsere allgemeine Zufriedenheit und Lebensqualität mit. Doch stetig wachsende Produktivitäts- und Gewinnerwartungen steigern die Anforderungen an ArbeitnehmerInnen und erhöhen den Druck am Arbeitsplatz. BetriebsrätInnen und Gewerkschaften sind daher stets bemüht, arbeitsrechtliche Standards zu bewahren und mehr als nur menschenwürdige Arbeitsbedingungen zu sichern, damit die steigende Produktivität auch denjenigen zugute kommt, die diese erwirtschaften den Arbeitnehmerinnen und Arbeitnehmern. Diese Aufgabe wird gerade in wirtschaftlich schlechten Zeiten zu einer immer schwierigeren Herausforderung. Arbeit um jeden Preis? Die schlechte Arbeitsmarktsituation und die Notwendigkeit, um Arbeitsplätze zu kämpfen, wird oft als Rechtfertigung benutzt, um Qualitätsstandards bei den Arbeitsbedingungen auszuhöhlen bzw. eine Weiterentwicklung zu verhindern. Beschäftigungssicherung geht Hand in Hand mit dem Erhalt und der Verbesserung von Arbeit. In dieser Frage kann es nicht heißen: entweder oder. Wir fordern beides! Die Beschäftigten haben es sich verdient! Wir wollen GUTE ARBEIT, um gute Arbeit leisten zu können! Wir knüpfen damit an bisherige Bemühungen sowohl unserer eigenen gewerkschaftlichen Arbeit als auch an internationale Erfahrungen an. Es ist notwendig für GUTE ARBEIT einzutreten und es lohnt sich auch. Dabei geht es in erster Linie darum, die Stimmen derer zu hören, die ExpertInnen in der Beurteilung ihres Arbeitsumfeldes sind: die Beschäftigten. Die GPA-djp stellt Informationen zur Erfassung des Arbeitsklimas im Betrieb bereit und gibt Handlungshilfen für die Gestaltung von Arbeitsplätzen. In der Reihe GUTE ARBEIT berücksichtigen wir jene Bereiche, die Arbeitsprozesse wesentlich bestimmen: Beschäftigung und Einkommen Arbeitsorganisation Mitbestimmung im Betrieb Gesundheit und Sicherheit am Arbeitsplatz Aus- und Weiterbildung Vielfalt und Chancengleichheit Mehr Informationen zum Thema GUTE ARBEIT unter

6 6 Kolumnentitel Inhalt 1. Der historische Werdegang des österreichischen Datenschutzgesetzes (DSG 2000) Was sind personenbezogene Daten? Was sind sensible Daten? Das Grundrecht auf Datenschutz Unter welchen Voraussetzungen dürfen Personaldaten verwendet werden? Allgemeine Rechtsgrundlagen der Personaldatenverwendung Unter welchen Voraussetzungen dürfen Daten ins Ausland übermittelt werden? Darf der/die ArbeitnehmerIn Auskünfte verweigern? Darf der/die ArbeitgeberIn Auskünfte verweigern? Dürfen Daten außer Haus verarbeitet werden? Verwendung für Zwecke der Statistik und der wissenschaftlichen Forschung Sonderregelungen Videoüberwachungen Daten im Betriebsratsbüro Das Datengeheimnis Begriffsdefinitionen Verpflichtung zur Wahrung des Datengeheimnisses Datengeheimnis und gesetzliche Verschwiegenheitspflichten Datengeheimnis und Betriebsgeheimnis Datengeheimnis und strafrechtliche Folgen Datengeheimnis und arbeitsrechtliche Folgen Datengeheimnis und betriebliche Regelungen Betriebsrat und Datengeheimnis Wie kann der/die ArbeitnehmerIn bzw. der/die BetriebsrätIn erfahren, welche Arten von Personaldaten von dem/der ArbeitgeberIn verarbeitet werden? Meldung an die Datenschutzkommission Inhalt der Meldung Standard- und Musteranwendungen Welche Informationspflicht haben die ArbeitgeberInnen? Welche Rechte haben die ArbeitnehmerInnen? Informationspflicht der ArbeitgeberInnen Recht der ArbeitnehmerInnen auf Auskunftserteilung, Richtigstellung und Löschung ihrer Daten und Widerspruchsrecht Welches Rechtsmittel hat der/die Betroffene bei Datenschutzverletzungen? Schadenersatz Verwaltungsstraftatbestände Arbeitsverfassungsgesetz und Datenschutz Rechte und Pflichten des Betriebsrates nach dem ArbVG Betriebsvereinbarung über Personal- bzw. Managementinformationssysteme Richtig angemeldet? Auskünfte über Sozialversicherungsdaten Exkurs: Datenschutz in der EU...39 Anhänge...40 Abkürzungsverzeichnis...77 Wichtige Links...77

7 Kolumnentitel 7 1. Der historische Werdegang des österreichischen Datenschutzgesetzes (DSG 2000) Mit der Erlassung der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr vom 24. Oktober 1995 hat der Datenschutz in der EU eine neue Entwicklung genommen: Ziel der Richtlinie war und ist die Harmonisierung der Datenschutzvorschriften der Mitgliedstaaten der Europäischen Union. Dies ist die Voraussetzung dafür, dass kein Mitgliedsland mehr den grenzüberschreitenden Datenverkehr innerhalb des EU- Gebietes im Interesse des Datenschutzes besonderen Prüfungen oder Genehmigungen unterwerfen darf. Das EU-Gebiet soll auch im Hinblick auf die Kommunikation personenbezogener Daten ein Raum sein, in dem der freie Verkehr von Daten in Bezug auf das Funktionieren des Binnenmarktes durch nationale Grenzen nicht behindert wird, bei gleichzeitiger Wahrung des Schutzes der Grundrechte. In Österreich wurde ursprünglich davon ausgegangen, dass eine Novelle zum Datenschutzgesetz, BGBl. Nr. 565/1978, zur Umsetzung der Richtlinie 95/46/EG genügen werde. Der in den Vorberatungen zur Erarbeitung dieser Novelle vielfach geäußerte Wunsch, die Trennung des einfachgesetzlichen Teiles des Datenschutzgesetzes in einen öffentlichen Bereich und einen privaten Bereich prinzipiell aufzugeben, um dadurch die beachtlichen Redundanzen im geltenden Gesetzestext in Zukunft zu vermeiden, konnte nur in Form eines neuen Datenschutzgesetzes verwirklicht werden, wobei allerdings die Zweigleisigkeit des Rechtsschutzes (Datenschutzkommission im öffentlichen Bereich und ordentliche Gerichte im privaten Bereich) im Wesentlichen aufrecht erhalten wurde. Dieses Gesetz wurde mit BGBl. I Nr. 165/1999 publiziert und ist mit in Kraft getreten. Auch wenn im Jahr 2000 ein neues Datenschutzgesetz (DSG 2000) erlassen wurde, versuchte man dennoch, bewährte Regelungsstrukturen grundsätzlich aufrecht zu erhalten. Es gibt nach wie vor ein Grundrecht auf Datenschutz ( 1), das in umfangreichen einfachgesetzlichen Bestimmungen ( 4 bis 64) ausgeführt wird. Bei der Umsetzung der Richtlinie in nationales, also österreichisches Recht wurden folgende Punkte zur bereits bestehenden Gesetzeslage hinzugefügt. 1. Die Verarbeitung sensibler Daten wird auf spezielle Fälle beschränkt: über das Datenschutzgesetz 2000 hinausgehende Verwendungen sind nur dann zulässig, wenn sie gesetzlich aus wichtigen öffentlichen Interessen vorgesehen sind. 2. Die Rechte der Betroffenen wurden nunmehr auf die Verwendung von Daten in manueller, strukturierter Form (zb in Karteien, Listen usw.) ausgedehnt, wie es die Richtlinie verlangt. 3. Die Zulässigkeitsvoraussetzungen für die Ermittlung, Verarbeitung und Übermittlung von Daten waren neu zu formulieren, weil öffentlicher und privater Bereich zusammengefasst wurden. Wie in der Richtlinie vorgegeben, wird den Bestimmungen über die Zulässigkeit der Datenverwendung ein Katalog von Grundsätzen vorangestellt, der die obersten Prinzipien rechtmäßigen Umgangs mit personenbezogenen Daten enthält. 4. Die Forderung nach Offenlegung von Datenanwendungen wo möglich wurde in dem von der Richtlinie erforderlichen Ausmaß nachvollzogen. Österreich besitzt ein fast lückenloses System von Meldepflichten an das Datenverarbeitungsregister. Die zusätzlichen Informations- und Offenlegungspflichten der Auftraggeber werden von diesen oft als unnötige Erschwernis angesehen, bedeutet allerdings einen echten Informationsmehrwert für den/die Betroffenen, wodurch die Wahrung seiner/ihrer Rechte wesentlich erleichtert wird.

8 8 5. Der Einführung neuer Informationspflichten stand eine Verminderung des Registrierungsaufwandes gegenüber. Die eigens vom Bundeskanzler durch Verordnung festgelegten so genannten Standardanwendungen sind nicht mehr registrierungspflichtig. Dies ist damit zu rechtfertigen, dass Standardverarbeitungen nur mehr für jene Fälle vorgesehen werden dürfen, in denen Jeder ohnehin damit rechnen muss, dass seine/ihre Daten in bestimmte Datenverarbeitungen (etwa: seiner Vertragspartner) einfließen. 6. Wesentliche Änderungen mussten in Umsetzung der Richtlinie 95/46/EG hinsichtlich des Datenverkehrs mit dem Ausland eingeführt werden. Das Konzept der Richtlinie geht davon aus, dass innerhalb des EU-Gebietes keine Beschränkung des Datenverkehrs stattfindet, der Datenverkehr in Drittländer aber nur zulässig ist, wenn dort ein angemessenes Datenschutzniveau garantiert ist. Dieses Konzept bedarf selbstverständlich zahlreicher Ausnahmen, um nicht jeglichen Datenverkehr innerhalb der EU unkontrolliert zu genehmigen. Gemäß Art. 26 Abs. 1 der Richtlinie ist daher nur für bestimmte Übermittlungszwecke der Datenverkehr mit dem Ausland ohne Beschränkungen zulässig. Für alle anderen Kategorien des Datentransfers ist jeweils die Angemessenheit des Datenschutzniveaus im Empfängerstaat bzw. bei dem/der EmpfängerIn zu prüfen. Ist das Schutzniveau nicht ebenbürtig, bedarf es besonderer Schutzgarantien im einzelnen Genehmigungsfall. Für Österreich hätten alle Erleichterungen im Datenverkehr mit dem Ausland, die in der Richtlinie enthalten sind, jedoch nur beschränkte Bedeutung, weil Datenschutz in Österreich sowohl für natürliche als auch für juristische Personen besteht und daher in den wenigsten Staaten ein ngemessenes Datenschutzniveau in vollem Umfang, dh für natürliche und juristische Personen, besteht. Also wurden die in Art. 26 Abs. 1 der Richtlinie enthaltenen Ausnahmen von der Genehmigungspflicht auch auf den Export von Daten juristischer Personen erweitert. Die Rechtfertigung hiefür liegt darin, dass in jenen Fällen, in welchen nicht einmal die schutzwürdigen Geheimhaltungsinteressen natürlicher Personen dadurch gefährdet erscheinen, dass ihre Daten in ein Land ohne angemessenes Schutzniveau exportiert werden, davon auszugehen sein wird, dass auch die schutzwürdigen Geheimhaltungsinteressen juristischer Personen nicht ernstlich gefährdet sind. Darüber hinaus wurde der Datenverkehr in die anderen EU-Mitgliedstaaten auch hinsichtlich juristischer Personen genehmigungsfrei gestellt, da deren Geheimhaltungsinteressen im Rahmen ähnlicher Rechtskulturen hinlänglich geschützt sind. Die rechtliche Situation des/der Betroffenen, also derjenigen Personen, deren Daten verarbeitet werden sollen, wurden im DSG 2000 durch folgende Maßnahmen geregelt: 1. Die neue Informationspflicht des/der Auftraggebers/in macht dem/der Betroffenen stärker bewusst, wann seine/ihre Geheimhaltungsinteressen berührt sind. 2. Für das Auskunftsrecht, das als Angelpunkt für die Verwirklichung von Betroffeneninteressen anzusehen ist, ist in jedem Fall, unabhängig davon, ob der/die AuftraggeberIn öffentlichrechtlich oder privatrechtlich konstituiert ist, die Datenschutzkommission zuständig. 3. Als unabhängige Kontrollstelle im Sinne des Art. 28 der Richtlinie 95/46/EG wurde die Datenschutzkommission eingesetzt, der die Kontrolle über sämtliche AuftraggeberInnen von Datenanwendungen soweit sie nicht der Gerichtsbarkeit oder der Gesetzgebung zuzurechnen sind übertragen wurde. Die Datenschutzkommission kann alle Datenanwendungen überprüfen und ist insofern nicht mehr auf den öffentlichen Bereich beschränkt. Wenn der Verdacht einer schwer wiegenden Datenschutzverletzung durch eine/n AuftraggeberIn des privaten Bereiches vorliegt, kann die Datenschutzkommission an Stelle des/der Betroffenen Feststellungsklage bei dem zuständigen Gericht erheben und dem/der Betroffenen dadurch eine sichere rechtliche Basis für die Verfolgung seiner/ihrer Unterlassungs- und Schadenersatzansprüche verschaffen. Die Trennung des Rechtsweges für die Durchsetzung der Rechte der Betroffenen wurde beibehalten: Für die Entscheidung über Verletzungen des Datenschutzes durch eine/n AuftraggeberIn des öffentlichen Bereiches ist nach wie vor die Datenschutzkommission zuständig, zur Entscheidung über Verletzungen des Datenschutzes im privaten Bereich sind die ordentlichen Gerichte berufen.

9 9 Wesentliche Neuerungen brachte das DSG 2000 schließlich im Bereich der Strafbestimmungen. Gerichtlich strafbar sind die absichtliche Schadenszufügung durch bestimmte Verwendungsformen von Daten und die rechtswidrige Übermittlung von Daten in Gewinnerzielungsabsicht sein ( 51). Die Verwaltungsstrafbestimmungen wurden ausgedehnt auf jene Fälle, in welchen gravierende Verletzungen der Rechte der Betroffenen vorliegen oder in welchen eine Durchsetzung der Interessen der Betroffenen an einem gesetzmäßigen Verhalten nicht im Wege einer Beschwerde oder Klage erfolgen kann, weil kein subjektives Recht der Betroffenen vorliegt: Eine Sanktionierung erscheint in diesen Fällen durch Bestrafung bei Zuwiderhandeln notwendig. Die Richtlinie 95/46/EG wurde im DSG 2000 nur insoweit umgesetzt, als hiefür eine Gesetzgebungskompetenz des Bundes besteht. Die Länder hatten/haben entsprechende gesetzliche Regelungen für den Bereich der manuellen Dateien zu erlassen, bei denen die Zuständigkeit zur Gesetzgebung Landessache ist. Das DSG 2000 war seit seinem Inkrafttreten am 1. Jänner 2000 bis zum Ende 2009 nur dreimal punktuell novelliert worden. Ende 2009 wurde schließlich eine umfangreiche Novelle zum DSG 2000 ( DSG-Novelle 2010 ) erlassen. In Anfragen von Betroffenen, in Entscheidungen der Datenschutzkommission, des VwGH und des VfGH sowie in den Datenschutzberichten traten immer mehr Probleme mit dem Vollzug des DSG 2000 zu Tage. Besonders hervorzuheben ist die Videoüberwachung, der das DSG 2000 in seiner bisherigen Fassung, die noch auf dem Konzept klassischer Datenbanken aufbaut, keine besondere Aufmerksamkeit schenkte. Ziel war in Anbetracht der stetig steigenden Belastung des Datenverarbeitungsregisters weiters, eine massive Vereinfachung des Registrierungsverfahrens bei gleichzeitiger Steigerung der Qualität des Datenverarbeitungsregisters, was auch durch eine klarere Regelung der Reaktionsmöglichkeiten der Datenschutzkommission im Fall der Nichterfüllung einer Meldepflicht erreicht werden sollte. Die DSG-Novelle 2010 ist grundsätzlich am 1. Jänner 2010 in Kraft getreten. Die Neuregelungen im Bereich des Melde- und Registrierungsverfahrens sind jedoch erst dann anwendbar, wenn eine dementsprechende Verordnung (neue Datenregister-Verordnung) in Kraft getreten sein wird. Dies wird dann der Fall sein, wenn die technischen Voraussetzungen für das neue Meldesystem vorliegen. Die Verordnung muss spätestens bis 1. Jänner 2012 erlassen werden. Als Ausgleich für die Vereinfachung der Meldepflicht sieht die Novelle eine Stärkung der Befugnisse der Datenschutzkommission vor. Diese kann etwa ein Verfahren zur Überprüfung der Registrierung eines Auftraggebers einleiten oder auch bei Gefahr im Verzug Datenanwendungen untersagen. Schließlich enthält die Novelle eine verständlichere Formulierung einiger Bestimmungen (ohne wesentliche Veränderung des Inhalts). Die gewerkschaftlichen Forderungen nach spezifischen Bestimmungen zum Datenschutz im Arbeitsverhältnis, allen voran nach einem betrieblichen Datenschutzbeauftragten oder der Parteistellung des/der Betriebsrates/rätin vor Gericht, fanden mangels politischer Einigung in der Novelle keinen Niederschlag.

10 10 2. Was sind personenbezogene Daten? Was sind sensible Daten? Die Definition von Daten (=personenbezogene Daten) ist in 4 DSG 2000 enthalten: demnach handelt es sich um Angaben über Betroffene, deren Identität mittels dieser Daten bestimmt oder bestimmbar ist (zb Name, Adresse, Telefonnummer, Personalnummer, Familienstand, etc.). Indirekt personenbezogen sind Daten für eine/n AuftraggeberIn, DienstleisterIn oder EmpfängerIn einer Übermittlung dann, wenn die Identität des/der Betroffenen mit rechtlich zulässigen Mitteln nicht herausgefunden werden kann. Ein Beispiel für indirekt personenbezogene Daten: Daten einer Person werden nicht unter ihrem Namen, sondern unter einer Nummer gespeichert, die nur derjenige auf den Namen rückführen kann, der rechtmäßig im Besitz des Namens und der dazu gehörenden Daten ist; Übermittlungsempfängerinnen bekommen die Daten nur unter der Nummer (zb für statistische Zwecke) und wissen nicht, um wen es sich handelt. Das ist natürlich nur dann zulässig, wenn nicht andere Daten dieser Person so signifikant sind, dass man weiß, um wen es sich handelt. Sensible Daten sind Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, ihre Gesundheit oder ihr Sexualleben. Die Verwendung sensibler Daten ist an strenge Voraussetzungen gebunden (vgl. dazu insbesondere die Ausführungen in Kap. 4). Das DSG 2000 kennt darüber hinaus im Gegensatz zur EU noch den Begriff der besonders schutzwürdigen Daten ; darunter fallen: strafrechtliche Daten, Daten zur Beurteilung der Kreditwürdigkeit einer Person sowie Daten aus Informationsverbundsystemen (das sind Daten zu denen mehrere AuftraggeberInnen Zugang haben, s. Kapitel 4.6). 3. Das Grundrecht auf Datenschutz Das Grundrecht auf Datenschutz bedeutet, dass jedermann einen verfassungsgesetzlichen Anspruch auf Geheimhaltung seiner personenbezogenen Daten hat, soweit ein schutzwürdiges Interesse daran besteht. Dies setzt voraus, dass es überhaupt personenbezogene Daten gibt, die auf eine bestimmte (oder zumindest bestimmbare) Person zurückgeführt werden können und dass diese Daten weiters geheim gehalten werden können, was dann grundsätzlich unmöglich sein wird, wenn sie allgemein zugänglich sind. Freilich bedarf dies der genauen Prüfung im Einzelfall, wobei vor allem auch zu beachten sein wird, ob die allgemeine Zugänglichkeit zum Zeitpunkt der beabsichtigten Verwendung tatsächlich besteht. An anderen Daten besteht ein so genanntes schutzwürdiges Geheimhaltungsinteresse, das jedoch wie jedes Grundrecht nicht absolut gilt, sondern durch bestimmte, zulässige Eingriffe beschränkt werden darf. Wichtiger Grund für eine zulässige Ausnahme vom Geheimhaltungsschutz ist zunächst die Zustimmung des/der Betroffenen zur Verwendung seiner/ihrer Daten. Weitere Gründe für zulässige Eingriffe können sich aus den besonderen Interessen entweder des/der Betroffenen selbst ergeben (lebenswichtiges Interesse des/der Betroffenen) oder aus den überwiegenden Interessen anderer ergeben (private wie auch juristische Personen des öffentlichen Rechts, also auch Selbstverwaltungskörper oder Gebietskörperschaften). Wird ein Eingriff zu Gunsten der Interessen anderer durch eine staatliche Behörde vorgenommen, dann bedarf es einer besonderen gesetzlichen Grundlage (vgl. auch Art. 8 Abs. 2 EMRK). In Umsetzung der Datenschutzrichtlinie,

11 11 die ein grundsätzliches Verarbeitungsverbot für sensible und besonders schutzwürdige Daten enthält, das mit einem taxativen Katalog zulässiger Ausnahmen verknüpft ist, dürfen gesetzliche Eingriffe in das Grundrecht auf Datenschutz nur aus wichtigen öffentlichen Interessen geschehen, wobei derartige Gesetze angemessene Garantien zum Schutz der Geheimhaltungsinteressen der Betroffenen vorsehen müssen. Eingriffe in das Grundrecht dürfen jeweils ausschließlich in der gelindesten zum Ziel führenden Art vorgenommen werden ( 1 Abs 2 letzter Satz und 7 Abs 3 DSG 2000). Jede Form der Datenverwendung (also jedes Verarbeiten und Übermitteln von Daten) darf nur vorgenommen werden, wenn dafür ein von einem Gesetz anerkannter Verwendungsgrund vorliegt, ein legitimer Zweck. Das Grundrecht auf Datenschutz beinhaltet einen Verwendungsschutz und somit auch einen Ermittlungsschutz : Es dürfen, gleichgültig für welche Verarbeitungsformen, nur solche Daten bei einem Dritten ermittelt oder von dem/der Betroffenen erfragt werden (zb in einem Fragebogen vor der Personalaufnahme), die für einen von der Rechtsordnung anerkannten Zweck notwendig sind (zb zur beruflichen Vorerfahrung). Personenbezogene Daten müssen gemäß dem Grundrecht geheim gehalten werden unabhängig davon in welcher Form sie verarbeitet werden. Es sind also zum Beispiel auch Personalakten im herkömmlichen Sinn in Papierform gemeint. Die Durchsetzung des Anspruches auf Geheimhaltung und die Ahndung seiner Verletzung erfolgen gegenüber einem/r Privaten (also auch gegenüber einem/r ArbeitgeberIn) durch die ordentliche Gerichtsbarkeit (Landesgerichte), gegenüber einer Behörde durch die Datenschutzkommission und letztlich durch den Verfassungsgerichtshof. Während das Grundrecht auf Datenschutz für alle (auch nicht strukturierte) Daten gilt, gilt der einfachgesetzliche Teil des DSG 2000 nur für Daten, die zur automationsunterstützten Verarbeitung oder zur Verarbeitung in manuell, dh ohne Automationsunterstützung geführten Dateien (= strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind) bestimmt sind. 4. Unter welchen Voraussetzungen dürfen Personaldaten verwendet werden? Das Datengeheimnis (siehe unter Kapitel 5) betrifft alle personenbezogenen Daten in einem privaten Unternehmen. Das Datengeheimnis schützt damit zum Beispiel Daten über KundInnen, über LieferantInnen, über sonstige betriebsfremde Personen, und natürlich auch Daten über die MitarbeiterInnen des Unternehmens. Im Folgenden sollen insbesondere die Personaldaten behandelt werden Allgemeine Rechtsgrundlagen der Personaldatenverwendung Die Berechtigung des/der Arbeitgebers/in, Daten über seine/ihre ArbeitnehmerInnen zu verarbeiten, ergibt sich aus den 1, 6, 7, 8 und 9 DSG 2000.

12 12 Die Zulässigkeit der Verarbeitung von Daten ist gegeben, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des Unternehmens gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen des/der Betroffenen nicht verletzen ( 7 Abs 1 DSG 2000). 7 Abs 2 DSG 2000 normiert, dass Daten nur dann übermittelt werden dürfen, wenn sie: aus einer rechtlich zulässigen Datenanwendung stammen, der/die EmpfängerIn dem/der Übermittelnden seine/ihre gesetzliche Zuständigkeit oder rechtliche Befugnis soweit diese nicht außer Zweifel steht im Hinblick auf den Übermittlungszweck glaubhaft gemacht hat und durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des/der Betroffenen nicht verletzt werden. Die Bestimmungen der 8 und 9 DSG 2000 stellen auf die Verwendung von Daten ab, wobei unter dem Begriff Verwenden von Daten jede Art der Handhabung von Daten fällt (zb ermitteln, übermitteln, speichern, überlassen, verknüpfen, auswerten, ). In der auf dem DSG 2000 beruhenden Standard- und Musterverordnung 2004 sind unter anderem die Standardanwendungen Personalverwaltung für privatrechtliche Dienstverhältnisse und Verwaltung von Benutzerkennzeichen vorgesehen, die von Unternehmen vorgenommen werden dürfen, ohne dass eine Meldung an die Datenschutzkommission notwendig ist (siehe dazu die Ausführungen in Kap. 6.3 und die Anhänge). Hier geht der Verordnungsgeber von der grundsätzlichen Zulässigkeit dieser taxativ aufgezählten Datenanwendungen im vorgegebenen Rahmen aus. Das bedeutet allerdings nicht, dass es in jedem Fall gerechtfertigt ist, sämtliche in der Standardanwendung genannten Datenarten zu verarbeiten und sämtliche in diesem Rahmen vorgesehenen Übermittlungen vorzunehmen. Es wird daher im Einzelfall zu prüfen sein, welche Datenarten ein Unternehmen tatsächlich verarbeiten darf, was letztendlich auch von der Art des Unternehmens abhängen wird Gesetzliche Ermächtigungen oder Verpflichtungen Wenn eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung personenbezogener Daten besteht, dann dürfen diese auch ohne eine dezidierte Zustimmung der Betroffenen verwendet werden (vgl. 8 Abs 1 Z1 DSG 2000), der Gesetzgeber geht davon aus, dass in diesem Fall die schutzwürdigen Geheimhaltungsinteressen bei der Verwendung nicht-sensibler Daten nicht verletzt sind. Hier geht es beispielsweise um die Übermittlung der ArbeitnehmerInnenliste an die Arbeiterkammer, die Übermittlung einkommensbezogener Daten an das Finanzamt, Krankenstandsmeldungen werden an die Gebietskrankenkasse weiter geleitet, im Zuge eines gerichtlichen Verfahrens erhält das Gericht relevante Daten über eine Person (zb Drittschuldnerexekution; Lohnpfändung) Verwenden von Daten im Interesse des/der Betroffenen Das Verwenden von Daten ist weiters zulässig, wenn der/die Betroffene der Verwendung seiner Daten zugestimmt hat (was jederzeit widerrufen werden kann) oder wenn lebenswichtige Interessen des/der Betroffenen die Verwendung erfordern. Da nach der Datenschutzrichtlinie 95/46/EG die Zustimmung ohne Zwang, für den konkreten Fall und in

13 13 Kenntnis der Sachlage erfolgen muss, kann davon ausgegangen werden, dass das Instrument der Zustimmung im ArbeitnehmerInnenbereich nur in Ausnahmefällen herangezogen werden kann und wegen der meist fraglichen Freiwilligkeit grundsätzlich in diesem Bereich nicht mit Zustimmungserklärungen gearbeitet werden sollte. Zustimmungserklärungen sollten daher nur gegeben werden, wenn der Zweck der Verwendung und die allfälligen EmpfängerInnen klar zu erkennen sind und wenn aus diesem Zweck keine Beeinträchtigung von Interessen der ArbeitnehmerInnen zu befürchten ist. Wenn von solchen Übermittlungen sämtliche ArbeitnehmerInnen des Unternehmens betroffen sind, müssen alle ArbeitnehmerInnen ihre Zustimmung abgeben; sie kann durch eine Zustimmung durch den Betriebsrat nicht ersetzt werden (vgl. Kapitel 9). Die Zustimmung sollte von einer genauen Information über die Art, den Zweck und den Umfang der beabsichtigten Übermittlungen sowie dem vorgesehenen Empfängerkreis abhängig gemacht werden. Der Betriebsrat soll von dem/der ArbeitgeberIn die entsprechenden Informationen verlangen und die Zustimmung nur dann empfehlen, wenn Interessen der ArbeitnehmerInnen nicht gefährdet werden. Da die Zustimmung ohne Angabe eines Grundes jederzeit widerrufbar ist ( 8 Abs Z 2 und 9 Z 6 DSG 2000), muss der/die ArbeitgeberIn diese Zustimmungserklärungen evident halten und darf auf Zustimmungserklärungen gestützte Übermittlungen nur solange und so weit vornehmen, als die Zustimmungen aufrecht sind. Übermittlungen von Daten der Gewerkschaftsmitglieder an die Gewerkschaft sind grundsätzlich zulässig, weil der Gewerkschaft damit nur Daten über ihre eigenen Mitglieder gegeben werden Interessen des/der AuftraggeberIn oder eines Dritten Eine Datenverwendung ist dann zulässig, wenn überwiegende berechtigte Interessen des/der Auftraggebers/in oder eines Dritten die Verwendung erfordern. Der/die ArbeitgeberIn muss also prüfen, ob ein Dritter (oder er/sie selbst) an diesen Daten ein berechtigtes, das heißt ein von der Rechtsordnung anerkanntes, nicht bloß wirtschaftliches Interesse hat und die Verwendung der Daten für die Wahrung dieses berechtigten Interesses notwendig ist. Weiters muss eine Interessenabwägung zwischen den Interessen des/der betroffenen Arbeitnehmers/in an der Geheimhaltung und den Interessen des Dritten (bzw. des/der Auftraggebers/in) an der Übermittlung ergeben haben, dass das Interesse des/der Auftraggebers/in oder des Dritten überwiegt. Aus diesen Voraussetzungen zeigt sich, dass die Zulässigkeit solcher Verwendungen kaum generell beurteilt werden kann, sondern nur im Einzelfall, abhängig von den Empfängerkreisen und von den Datenarten, die verwendet werden sollen. Beispiele für derartige Datenverwendungen sind u. a. die Verwendung von Daten zur Erfüllung einer vertraglichen Verpflichtung zwischen dem/der AuftraggeberIn und dem/der Betroffenen bzw. die Verwendung von Daten, die zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen des/der Auftraggebers/in vor einer Behörde notwendig sind ( 8 Abs 3 Z 4 DSG 2000). Die Verantwortung für die Zulässigkeit der Datenverwendung trägt wie in allen Fällen der/die Auftraggeberin der Datenverarbeitung, im Falle der Personaldaten also zum Beispiel der/die ArbeitgeberIn. Zum Teil ist der/die ArbeitgeberIn verpflichtet, Aufzeichnungen über seine/ihre ArbeitnehmerInnen zu führen. Dazu zählen zum Beispiel die für die Lohn und Gehaltsberechnung notwendigen Aufzeichnungen, die für die Abfuhr der Lohnsteuer und der Sozialversicherungsbeiträge notwendigen Daten; nach einzelnen gesetzlichen Vorschriften für besondere Branchen und Arbeitnehmergruppen, etwa über Lehrlinge und Behinderte, bestehen weitere gesetzliche Datenaufzeichnungspflichten.

14 14 Da damit auch die Verpflichtung zur Führung von Aufzeichnungen über die Familienangehörigen einer/eines Arbeitnehmers/in verbunden ist (zb zur Berechnung der Familienbeihilfe), dürfen auch deren Identifikationsdaten verarbeitet werden. Zu den nach DSG 2000 zulässigen Datenarten gehören weiters die Angaben über die Zuordnung eines/einer ArbeitnehmerIn zu einer bestimmten betrieblichen Organisationseinheit, über die Dauer seines/ihres Arbeitsverhältnisses, über besondere Qualifikationen und Ausbildungen. Zulässig sind jedenfalls jene Datenarten, die in der Standardanwendung Personalverwaltung für privatrechtliche Dienstverhältnisse angegeben sind (siehe Kapitel 6.3 und Anhang 1). Nicht zulässig ist etwa das Ausdrucken und Aufbewahren der kompletten angewählten Telefonnummer für alle Gespräche der ArbeitnehmerInnen in ihrer Eigenschaft als Personalvertreter (Bescheid der DSK, GZ /8-DSK/98). Bezüglich der Verwendung sensibler Daten ist zum einen auf 1 Abs 2 DSG 2000 zu verweisen, wonach Gesetze die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen dürfen und gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen müssen. Für die Rechtmäßigkeit der Verwendung von Daten reicht die Behauptung der Notwendigkeit für das Unternehmen nicht, sondern es müssen in jedem Fall schutzwürdige Interessen der Betroffenen beachtet werden. Der/Die Datenverantwortliche darf sensible Daten dann verwenden, wenn nach dem Arbeitsrecht deren Verwendung festgelegt ist. Für BetriebsrätInnen sind seine/ihre Rechte aus dem Arbeitsverfassungsgesetz unverändert gültig, dh er/sie darf zb über die Gehaltseinstufungen der Belegschaft im Betrieb Bescheid wissen. In der Juristensprache heißt das, dass schutzwürdige Geheimhaltungsinteressen bei der Verwendung sensibler Daten dann nicht verletzt werden, wenn die Verwendung erforderlich ist, um den Rechten und Pflichten des/der Auftraggebers/in auf dem Gebiet des Arbeits- oder Dienstrechts Rechnung zu tragen und sie nach besonderen Rechtsvorschriften zulässig ist, wobei die dem Betriebsrat nach dem Arbeitsverfassungsgesetz zustehenden Befugnisse im Hinblick auf die Datenverwendung unberührt bleiben. ( 9 Z 11 DSG 2000). Die Verarbeitung von Daten über ArbeitnehmerInnen, die das Privatleben betreffen, sofern sie nicht gesetzlich ausdrücklich verlangt wird, ist grundsätzlich unzulässig (zb Daten über Lebensgewohnheiten, die nicht mit der Berufsausübung ursächlich zusammenhängen). Wo das ArbVG verbindliche Mitbestimmungsrechte des Betriebsrates vorsieht ( 96, 96a), ist die Wahrung dieser Mitbestimmungsrechte zusätzliche zur Einzelzustimmung Voraussetzung für die Rechtmäßigkeit der Verarbeitung. Wegen der unterschiedlichen Feiertagsregelungen für die Angehörigen verschiedener Religionsbekenntnisse wird die Führung des Religionsbekenntnisses zulässig sein; wegen der entgeltsrechtlichen Konsequenzen die Verarbeitung der Dauer von Krankenständen. Die Verarbeitung von Diagnosen und anderen Daten über die Gesundheit der ArbeitnehmerInnen ist nicht zulässig, da diese Informationen für die Gestaltung des Arbeitsverhältnisses selbst in der Regel nicht von Bedeutung sind und sie ohne Zweifel dem Privat- und Familienleben des/der Arbeitnehmers/in zugehören. (Ausnahmen wären zum Beispiel die beschränkte Verwendungsfähigkeit eines/einer Arbeitnehmers/in auf Grund gesetzlicher Bestimmungen) Eine derartige Verarbeitung wäre von 9 DSG 2000 nicht gedeckt; noch dazu sind derartige Daten durch die ärztliche Verschwiegenheitspflicht besonders geschützt. Strikt abzulehnen ist auch die Verarbeitung von Daten zu Charaktermerkmalen, zu seelischen Problemen, über das Vorleben, Vorstrafen, Schulden, über Verwandte und deren Situation, Weltanschauung, nach Parteizugehörigkeit und Ähnlichem. Speziell zur Übermittlung von personenbezogenen Daten (siehe auch Kapitel 4.1.) ist noch Folgendes zu bemerken: Sollten Anfragen telefonisch gestellt werden (und dementsprechend durch Beantwortung der Anfragen Daten übermittelt werden), so sollte man sich zuerst rückversichern, ob es im Interesse des/der Betroffenen ist, die angefragten personenbezogenen Daten weiter zu geben und die Antwort bei einem Rückruf zu erteilen. Notwendig sind auch Zusatzfragen an den/die Anfragende/n, um zu erkennen, ob diese/r wirklich berechtigt ist, eine solche Auskunft zu erhalten. Welche Auskünfte wann an wen telefonisch gegebenen wurden, ist schriftlich zu dokumentieren.

15 15 Eine Liste der ArbeitnehmerInnen des Unternehmens darf ohne Zustimmung der Betroffenen nicht einem aus wirtschaftlichen Gründen daran Interessierten übermittelt werden. Sollte der/die ArbeitgeberIn Zweifel an der Zulässigkeit einer Übermittlung haben, so wird es zweckmäßig sein, die einzelnen Betroffenen um Zustimmung zur Übermittlung zu ersuchen. Was Datenübermittlungen an den Betriebsrat betrifft, so ist Folgendes festzuhalten: Das Unternehmen kann sich nicht auf das DSG 2000 berufen, um dem Betriebsrat Informationen zu verweigern, die ihm nach dem Arbeitsverfassungsgesetz zustehen. Dies gilt nicht nur für die allgemeinen Informationsrechte und für Daten aus dem Wirtschaftsbereich des Unternehmens. 9 Z 11 DSG 2000 erklärt ausdrücklich, dass nach dem ArbVG dem Betriebsrat zustehende Befugnisse nicht berührt werden. Die Übermittlung von Daten der ArbeitnehmerInnen an den Betriebsrat des Unternehmens ist so weit zulässig, als der Betriebsrat diese Informationen für die Vorbereitung der Betriebsratswahlen und für die Betreuung der ArbeitnehmerInnen benötigt. Dabei wird sich der/die ArbeitgeberIn aber auf die Zuständigkeiten der einzelnen Organisationen des Betriebsrates bei der Übermittlung von Daten von Arbeitnehmergruppen berufen können. Zur Ausübung der allgemein umschriebenen Befugnisse des Betriebsrates, Wahrung der Interessen der ArbeitnehmerInnen, wird eine Übermittlung von Grunddaten der ArbeitnehmerInnen des Betriebes notwendig sein. Dabei werden keine schutzwürdigen Interessen der Betroffenen verletzt. Diese Aufgabenstellung des Betriebsrates und einzelne Bestimmungen des Arbeitsverfassungsgesetzes (zb 89 Z 1) beinhalten die gesetzliche Pflicht zur Übermittlung von Personal- wie Unternehmensdaten an den Betriebsrat. Bei Datentransfers innerhalb eines Konzerns, also von einem konzerninternen Rechtsträger an einen anderen konzerninternen Rechtsträger (auch an die Muttergesellschaft), handelt es sich um Übermittlungen (oder im Spezialfall: um Überlassungen) im Sinne des DSG Unter welchen Voraussetzungen dürfen Daten ins Ausland übermittelt werden? Für die Beurteilung der Rechtmäßigkeit von Übermittlungen ist gleichgültig, ob diese im Inland oder in das Ausland stattfindet, jedoch muss der/die ArbeitgeberIn für Übermittlungen von Daten in ausländische Staaten, die keinen angemessenen Datenschutz haben, grundsätzlich die Genehmigung der Datenschutzkommission einholen. Die Genehmigung seitens der DSK ist zu erteilen, wenn für die im Genehmigungsantrag angeführte Übermittlung oder Überlassung im konkreten Einzelfall angemessener Datenschutz besteht oder wenn der/die AuftraggeberIn glaubhaft macht, dass die schutzwürdigen Geheimhaltungsinteressen der vom geplanten Datenverkehr Betroffenen auch im Ausland ausreichend gewahrt werden. Hierfür können insbesondere auch vertragliche Zusicherungen des/der Empfängers/in an den/die AntragstellerIn über die näheren Umstände der Datenverwendung im Ausland von Bedeutung sein. Um die Vorgehensweise bei Datenübermittlung in Drittstaaten zu vereinfachen hat die Europäische Kommission Entscheidungen über Standardvertragsklauseln angenommen, die angemessene Garantien für die Übermittlung personenbezogener Daten von der EU in Drittländer gewährleisten. 1 Diese Vertragsklauseln betreffen nur die Datenweitergabe von einem/einer AuftraggeberIn an eine/n andere/n, nicht aber von dem/der AuftraggeberIn an eine/n DienstleisterIn. Bei Verwendung der genannten Standardvertragsklauseln kann davon ausgegangen werden, dass die DSK den Datentransfer genehmigen wird (sofern die innerstaatlichen Datenverwendungsvoraussetzungen erfüllt sind). 1 Die Entscheidung der Kommission 2001/497/EG vom 15. Juni 2001 hinsichtlich Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer nach der Richtlinie 95/46/EG Artikel 26 Abs 4 wurde am 4. Juli 2001 im Amtsblatt Nr. L 181, S , CELEX: 32001D0497, kundgemacht.

16 entschloss sich die EU-Kommission eine zusätzliche Möglichkeit der Datenübermittlung an Drittstaaten einzuführen, da die Standardvertragsklauseln von Unternehmen kaum angewendet wurden. Folglich beschloss man alternative Standardvertragsklauseln. 2 Sie erleichtern den Datentransfer. Diese Vertragsklauseln betreffen ebenfalls nur die Datenweitergabe von einem/einer AuftraggeberIn an eine/n andere/n AuftraggeberIn. Überdies wurde ein Beschluss der Kommission gefasst, der sich auf die Überlassung an eine/n DienstleisterIn in einem Drittstaat ohne angemessenen Datenschutz bezieht. 3 Diese Standardvertragsklauseln sind seit 15. Mai 2010 in Kraft. Die alten diesbezüglichen Standardvertragsklauseln 2002/16/EG sind außer Kraft und sollten nicht mehr verwendet werden. Weiters gibt es hier zahlreiche Ausnahmebestimmungen, bei deren Vorliegen eine Genehmigung der Datenschutzkommission nicht notwendig ist: Bereits aus der Richtlinie 95/46/EG, die auch in den EWR-Staaten umzusetzen war, ergibt sich, dass für eine Übermittlung in andere EU-Staaten sowie die EWR-Staaten (Norwegen, Liechtenstein und Island) keine Genehmigung erforderlich ist. Auf Grund von Entscheidungen der EU-Kommission auf der Basis des Art. 25 Abs. 6 der Datenschutzrichtlinie sind auch noch weitere Datentransfers genehmigungsfrei: Die EU-Kommission hat den angemessenen Schutz personenbezogener Daten, in Andorra, Schweiz, Argentinien, Guernsey, Jersey, Israel und der Isle of Man sowie auf den Färöer Inseln (soweit es sich nicht um Datenverwendungen durch Behörden des Königsreichs Dänemark handelt) anerkannt. Auch für Kanada gibt es eine Entscheidung der Kommission, wobei sich aber der angemessene Schutz auf einen eingeschränkteren Bereich bezieht. So wird Kanada als ein Land angesehen, das ein angemessenes Schutzniveau bei der Übermittlung personenbezogener Daten aus der Gemeinschaft an EmpfängerInnen garantiert, die dem kanadischem Gesetz über personenbezogene Informationen und elektronische Dokumente unterliegen. Dieses Gesetz gilt seit 1. Januar 2004 für sämtliche Organisationen, die im Rahmen einer kommerziellen Tätigkeit personenbezogene Daten erheben, verarbeiten oder weitergeben. Nicht in den Geltungsbereich des kanadischen Gesetzes fallen Organisationen des öffentlichen Sektors auf Bundesebene oder Provinzebene. Ebenso wenig sind Organisationen ohne Erwerbscharakter und karikative Tätigkeiten von der Freizügigkeit der Datentransfers betroffen, es sei denn, es handelt sich um Tätigkeiten kommerzieller Art. Beschäftigtendaten, die für nichtkommerzielle Zwecke benutzt werden, sind ebenfalls ausgenommen. Es sei denn, es handelt sich um Beschäftigtendaten von unter Bundesrecht fallenden privatwirtschaftlichen Unternehmen. Der kanadische Bundesdatenschutzbeauftragte (Federal Privacy Commissioner) kann Informationen dazu bereitstellen. Hat der Bundeskanzler trotz Fehlens eines im Empfängerstaat generell geltenden angemessenen Schutzniveaus durch Verordnung festgestellt, dass für bestimmte Kategorien des Datenverkehrs mit diesem Empfängerstaat im Einzelfall angemessener Datenschutz besteht, so tritt an die Stelle der Verpflichtung einer Genehmigung die Pflicht zur Anzeige an die Datenschutzkommission (die binnen sechs Wochen von ihrem Untersagungsrecht Gebrauch machen kann). Eine derartige Verordnung ist bislang noch nicht erlassen wurde. 2 Die Entscheidung der Kommission 2004/915/EG vom 27. Dezember 2004 zur Änderung der Entscheidung 2001/497/EG bezüglich der Einführung alternativer Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer wurde am 29. Dezember 2004 im Amtsblatt Nr. L 385 S , CELEX: 32004D0915, kundgemacht. 3 Dieser Beschluss vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern nach der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates wurde am 12. Februar 2010 im Amtsblatt Nr. L 039 S. 5-18, CELEX: 32010D0087 kundgemacht.

17 17 Ebenso wurde anerkannt, dass der von den Grundsätzen des Sicheren Hafens (vorgelegt vom Handelsministerium der USA) gewährleistete Schutz angemessen ist. 4 Letztere Entscheidung bezieht sich nur auf Datentransfers an Unternehmen, die sich den zwischen EU und den USA ausgehandelten datenschutzrechtlichen Prinzipien des Sicheren Hafens unterworfen haben. Die Datenschutzkommission geht davon aus, dass Übermittlungen an Unternehmen in den USA, die sich den safe harbor principles unterworfen haben, zwar genehmigungsfrei, aber als Änderung einer Registrierungsmeldung (oder überhaupt im Rahmen einer Neumeldung) der DSK (DVR) mitzuteilen sind. Davon abgesehen enthält das DSG 2000 auch noch weitere Tatbestände, in denen Genehmigungsfreiheit eines Datentransfers in das Ausland vorliegt ( 12 Abs. 3 DSG 2000). Der Datenverkehr ins Ausland ist dann genehmigungsfrei wenn: die Daten im Inland zulässigerweise veröffentlicht wurden oder Daten, die für den/die EmpfängerIn nur indirekt personenbezogen sind, übermittelt oder überlassen werden oder die Übermittlung oder Überlassung von Daten ins Ausland in Rechtsvorschriften vorgesehen ist, die im innerstaatlichen Recht den Rang eines Gesetzes haben und unmittelbar anwendbar sind, oder Daten aus Datenanwendungen für private Zwecke ( 45) oder für publizistische Tätigkeiten ( 48) übermittelt werden oder der/die Betroffene ohne jeden Zweifel seine Zustimmung zur Übermittlung oder Überlassung seiner Daten ins Ausland gegeben hat oder ein vom/von der AuftraggeberIn mit dem/der Betroffenen oder mit einem Dritten eindeutig im Interesse des/der Betroffenen abgeschlossener Vertrag nicht anders als durch Übermittlung der Daten ins Ausland erfüllt werden kann oder die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen vor ausländischen Behörden erforderlich ist und die Daten rechtmäßig ermittelt wurden, oder die Übermittlung oder Überlassung in einer Standardverordnung ( 17 Abs. 2 Z 6) oder Musterverordnung ( 19 Abs. 2) ausdrücklich angeführt ist oder es sich um Datenverkehr mit österreichischen Dienststellen im Ausland handelt oder Übermittlungen oder Überlassungen aus Datenanwendungen erfolgen, die gemäß 17 Abs. 3 von der Meldepflicht ausgenommen sind Darf der/die ArbeitnehmerIn Auskünfte verweigern? An dieser Stelle sei noch auf die Frage eingegangen, ob seitens eines/einer ArbeitnehmerIn die Beantwortung von (unzulässigen) Fragen verweigert werden könne, die ihm/ihr von dem/der ArbeitgeberIn gestellt werden. Dies wird im Lichte des Grundrechts auf Datenschutz (vgl. Kapitel 3) selbst dann zu bejahen sein, wenn die Antwort nicht in eine manuelle Datei oder automationsunterstützte Datenanwendung einfließt. Antworten, bei denen ein/e ArbeitnehmerIn seine/ihre schutzwürdigen Interessen, insbesondere wenn sie mit seinem/ihrem Privat- und Familienleben zusammenhängen, als verletzt ansehen würde, braucht er/sie nicht zu geben, wenn nicht überwiegende berechtigte Interessen des/der Arbeitgebers/in gegeben sind. Diese Interessenabwägung wird letztlich mit der Frage zusammenhängen, ob die Antwort überwiegend mit dem Beschäftigungsverhältnis zusammenhängt oder nicht. 4 Entscheidung der Kommission 2000/520/EG vom , ABl. L 215/7 vom

18 Darf der/die ArbeitgeberIn Auskünfte verweigern? Das Einsichtsrecht wird ArbeitnehmerInnen mitunter verwehrt, mit der Begründung, dass damit ein Eingriff in das Datenschutzgesetz vorliegen würde (zb in den Personalakt). Dies darf nur dann eintreten, wenn der/die ArbeitgeberIn nach 26 Abs 2 DSG 2000 glaubhaft machen kann, das überwiegende berechtigte Interessen von Dritten oder dem/der ArbeitgeberIn selbst in ihrer Funktion als AuftraggeberIn der Datenverarbeitung dieser Einsichtnahme entgegen stehen. Sollten Betroffene zu Unrecht keine Auskunft erhalten, können sie sich an die DSK wenden, die hier eine Interessenabwägung zwischen denen der/des Auftraggebers/in und denen der Betroffenen vornehmen wird Dürfen Daten außer Haus verarbeitet werden? Unternehmen dürfen bei ihren Datenanwendungen Dienstleister (zb gewerbliches Rechenzentrum, Wirtschaftstreuhänderlnnen) in Anspruch nehmen, wenn diese ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten. Das Unternehmen bleibt Auftraggeber der Datenanwendung, auch wenn die Verarbeitung technisch und administrativ von anderen durchgeführt wird. Dienstleister sind gemäß DSG 2000 idf der Novelle 2010 natürliche oder juristische Personen, Personengemeinschaften oder Organe, wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden. Der/Die AuftraggeberIn bleibt verantwortlich für die Zulässigkeit der Verarbeitung und für die Richtigkeit der Daten, bei ihm/ihr sind Anträge auf Auskunft, Berichtigung und Löschung einzubringen. Die Pflichten des/der Dienstleisters/in (das ist der/die Verarbeiter/in) sind in 11 DSG 2000 geregelt. Demnach ist der/die DienstleisterIn vor allem verpflichtet, sich strikt an die Anordnungen des/der AuftraggeberIn zu halten und hat auch die erforderlichen Datensicherheitsmaßnahmen zu treffen. Die nähere Ausgestaltung der Dienstleisterpflichten sind zum Zweck der Beweissicherung schriftlich festzuhalten; diese Verpflichtungen werden dementsprechend in einem Dienstleistervertrag zwischen dem/der AuftraggeberIn und dem/der DienstleisterIn auszuführen sein Verwendung für Zwecke der Statistik und der wissenschaftlichen Forschung Für die Verwendung von Daten, die für statistische Zwecke oder Zwecke der wissenschaftlichen Forschung verwendet werden, gilt die Sonderbestimmung des 46 DSG 2000, wonach in bestimmten Fällen eine Genehmigung der Datenschutzkommission einzuholen ist (zb bei sensiblen Daten). Eine Genehmigung wird aber etwa dann nicht benötigt, wenn die verwendeten Daten öffentlich zugänglich sind, wenn der/die AuftraggeberIn Daten für andere Untersuchungen oder auch andere Zwecke zulässigerweise ermittelt hat oder wenn nur indirekt personenbezogene Daten (s. Kap. 2) verwendet werden Sonderregelungen Sonderregelungen bestehen nicht nur für bestimmte Verwendungszwecke, sondern auch für besondere Verwendungsarten (Verwendungsmethoden) von Daten: Grundsätzlich darf niemand einer für sie/ihn rechtliche Folgen nach sich ziehenden oder einer sie/ihn erheblich beeinträchtigenden Entscheidung unterworfen werden, die ausschließlich auf Grund einer automationsunterstützten Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte ihrer/seiner Person ergeht, wie beispielsweise seiner beruflichen

19 Kolumnentitel 19 Leistungsfähigkeit, seiner Kreditwürdigkeit, seiner Zuverlässigkeit oder seines Verhaltens (automationsunterstützte Einzelentscheidung). Ausnahmen sind durch ausdrückliche gesetzliche Regelung möglich, oder im Rahmen des Abschlusses oder der Erfüllung eines Vertrages, wenn der/die Betroffene selbst um den Abschluss oder die Erfüllung des Vertrages ersucht hat; weiters, wenn die Wahrung der berechtigten Interessen des/der Betroffenen durch geeignete Maßnahmen beispielsweise die Möglichkeit, seinen Standpunkt geltend zu machen garantiert wird. Ein so genanntes Informationsverbundsystem ist die gemeinsame Verarbeitung von Daten in einer Datenanwendung durch mehrere AuftraggeberInnen, wobei jede/r AuftraggeberIn auch auf die von andere/n AuftraggeberInnen in das System gestellten Daten Zugriff hat. Hier besteht die Sonderregelungen darin, dass ein/e Betreiber/in namhaft gemacht werden muss, der/die gegenüber dem/der Betroffenen bestimmte Auskunftspflichten zu erfüllen hat Videoüberwachungen Als weitere besondere Verwendungsart ist seit der DSG-Novelle 2010 die Verwendung von Videoüberwachungsdaten geregelt. Videoüberwachung bezeichnet die systematische, insbesondere fortlaufende Feststellung von Ereignissen, die ein bestimmtes Objekt ( überwachtes Objekt ) oder eine bestimmte Person ( überwachte Person ) betreffen, durch technische Bildübertragungs- oder Bildaufzeichnungsgeräte. Von Überwachung kann nur dann die Rede sein, wenn Kontrolle ausgeübt werden soll. Gegenstand der Überwachung kann ein bestimmtes Objekt oder eine Person sein. Darunter fällt etwa auch gezieltes Fotografieren. Aufnahmen etwa aus rein touristischen oder künstlerischen Beweggründen, aber auch das Filmen für ausschließlich familiäre oder persönliche Tätigkeiten (zb bei einem Kindergeburtstag) fallen nicht unter den Begriff der Überwachung (und damit nicht unter den Spezialabschnitt zur Videoüberwachung, wohl aber uu unter das DSG 2000). Was die Zulässigkeit betrifft, so gelten für die Videokontrolle die allgemeinen Bestimmungen der 6 (allgemeine Datenschutzgrundsätze) und 7 (Zulässigkeit einer Datenanwendung). Hinzuweisen ist besonders auf die gesetzliche Zuständigkeit oder rechtliche Befugnis. Bei den Überwachungen von ArbeitgeberInnen aus dem privatwirtschaftlichen Bereich wird dies ein privatrechtliches Rechtsverhältnis des/der AuftraggeberIn zum überwachten Objekt oder zur überwachten Person voraussetzen. Auch der Grundsatz der Verhältnismäßigkeit ist hier als wesentliches Prinzip zu nennen. Sofern taugliche Mittel zur Zielerreichung bestehen, die weniger intensiv in das Recht auf schützenswerte Privatsphäre eingreifen als die Videoüberwachung, sind diese jedenfalls vorzuziehen. Um dem Sicherheitsbedürfnis mancher HauseigentümerInnen, ArbeitgeberInnen, ArbeitnehmerInnen oder MieterInnen Rechnung zu tragen, wäre möglicherweise die Verwendung von Sicherheitstüren, Gegensprechanlagen oder Alarmanlagen ausreichend. Grundsätzlich stellt auch der Eingriff durch Echtzeitüberwachung in das Grundrecht auf Datenschutz ein gelinderes Mittel dar als eine Speicherung der bei einer Videoüberwachung anfallenden Daten. Echtzeitüberwachung wird insbesondere dann ausreichen, wenn eine Videoüberwachung ausschließlich bezweckt, das überwachte Objekt oder die überwachte Person vor einer Gefahr rechtzeitig schützen zu können bzw. bei Eintreten eines schädigenden Ereignisses (zb eines Unfalls) unverzüglich reagieren zu können. Rechtmäßige Zwecke sind der Schutz des überwachten Objekts oder der überwachten Person oder die Erfüllung rechtlicher Sorgfaltspflichten, jeweils einschließlich der Beweissicherung.

20 20 Kolumnentitel Videoüberwachung im öffentlichen Bereich bei Wahrnehmung von hoheitlichen Aufgaben bedarf immer einer gesonderten gesetzlichen Regelung. 5 Zulässig sind jene Fälle, in denen schon nach der bisherigen Regelung sensible Daten erhoben werden dürfen, etwa im lebenswichtigen Interesse einer Person (zb auf der Intensivstation eines Krankenhauses) oder mit ausdrücklicher Zustimmung des Betroffenen. Weiters scheinen bestimmte Formen der Echtzeitüberwachung (jene des/der AuftraggeberIn zum Eigenschutz) geringere Risiken in sich zu bergen als andere Videoüberwachungen durch Private und werden daher auch grundsätzlich für zulässig erachtet. Im Übrigen ist eine Videoüberwachung bei einer gewissen Gefährdung des überwachten Objekts oder der überwachten Person rechtmäßig. Wenn also bestimmte Tatsachen die Annahme rechtfertigen, das überwachte Objekt könnte das Ziel oder der Ort eines gefährlichen Angriffs werden, so wäre unter der Voraussetzung des Grundsatzes der Verhältnismäßigkeit und des Einsatzes des gelindesten Mittels eine Videoüberwachung gerechtfertigt. Eine Videoüberwachung wird etwa dann gerechtfertigt sein, wenn das Objekt zb ein Gebäude schon früher Gegenstand eines gefährlichen Angriffs war oder als besonders gefährdet erachtet wird; sei es ein besonders künstlerisch wertvoller Gegenstand, der Aufenthaltsort eines verfassungsmäßigen Organs, wie etwa Parlament oder Bundeskanzleramt bzw. ein Bundesministerium, oder eine besonders bekannte gefährdete Person oder deren Aufenthaltsort. Die Zulässigkeit einer Videoüberwachung kann immer nur unter Bedachtnahme auf die konkrete Situation und unter sorgfältiger Abwägung der Geheimhaltungsinteressen der Betroffenen gegenüber den Interessen Dritter unter Einhaltung des Grundsatzes des gelindesten zum Ziel führenden Mittels beurteilt werden. Tabuzonen, an denen keine Videoüberwachung zulässig ist, sind jene Orte, die zum höchstpersönlichen Lebensbereich eines Menschen gehören (zb Privatwohnungen, Umkleidekabinen und WC-Kabinen). Weiters gilt ein generelles Verbot der Überwachung zur Mitarbeiterkontrolle an Arbeitsstätten. Dies schließt nicht aus, dass MitarbeiterInnen bei zulässigen Videoüberwachungen (mit)aufgenommen werden, zb bei Videoüberwachungen von Geräten zum Schutz der MitarbeiterInnen oder bei der Überwachung des Kassenbereiches von Banken. Dabei darf allerdings nicht der gesamte Arbeitsplatz der permanenten Überwachung ausgesetzt sein. (Im Bankenbereich wurde beispielsweise insofern ein Mittelweg zwischen ganzheitlicher Überwachung und Schutz der Angestellten gefunden, als ausschließlich die Hände im Kassenbereich aufgenommen wurden.) Im Übrigen gilt das Verbot des automationsunterstützten Abgleichs mit anderen Bilddaten und das Verbot, derartige Verarbeitungen nach sensiblen Daten als Auswahlkriterium zu durchsuchen, vorgesehen. Jegliche Verwendungsvorgänge sind zu protokollieren. Videoüberwachungen sind meldepflichtig gegenüber dem DVR. Ausgenommen von der Meldepflicht sind Echtzeitaufnahmen und Aufnahmen, die ausschließlich auf analogen Speichermedien aufbewahrt werden. Grundsätzlich unterliegen Videoüberwachungen der Vorabkontrolle durch die Datenschutzkommission, durch eine Novelle zur Standardund Musterverordnung 2010 wurden jedoch bestimmte Videoüberwachungen von der Meldepflicht ausgenommen. Dies gilt für besonders gefährdete Branchen, die taxativ aufgezählt werden. Es sind dies: Banken, Trafiken, Tankstellen sowie Juwelier, Handel mit Antiquitäten und Kunstgegenständen, Gold- und Silberschmied (s. Anhang; Standardanwendung 032). Weiters besteht die Möglichkeit, eine Meldung ohne Vorabkontrolle an die DSK zu erstatten: wenn die Aufzeichnungen verschlüsselt werden und der einzig verfügbare Schlüssel bei der DSK hinterlegt wird. Es muss also in beiden Fällen eine Meldung and die Datenschutzbehörde erstattet werden. Im Rahmen des Melde- und Registrierungsverfahrens kann seitens der DSK (DVR) ein Verbesserungsauftrag ergehen. Sollte die DSK jedoch innerhalb von 2 Monaten nach Meldung nicht reagieren, so ist dies einer Zustimmung gleichzuhalten und die Datenanwendung darf auch bei grundsätzlicher Vorabkontrollpflichtigkeit durchgeführt werden. 5 Siehe zb die bereits bestehenden Regelungen des 54 Abs 6 und 7 Sicherheitspolizeigesetz